本文为本系列第二篇,主要分为两部分进行介绍,
一.网络拓扑
二.证书制作
还是将本系列目录贴出来,方便导航
实战:ADFS3.0单点登录系列-自定义ADFS样式
实战:ADFS3.0单点登录系列-问题汇总
一.网络拓扑
ADFS既然有AD两个字母,那么一定是需要域环境的。
完整完成本系列的所有功能,那么需要至少8台服务器,如果只需要其中某项功能,则可根据实际情况减少服务器。8台服务器如下
1.域控制器服务器,提升为域控,并安装ADCS证书服务,本文第二部分会用到。
2.ADFS服务器(加域),联合身份认证承载服务器。
3.数据库服务器(加域),作用不多说。
4.应用程序服务器(加域),用于承载MVC应用程序。
5.SharePoint服务器(加域),用于承载SharePoint应用程序。
6.WAP服务器(加域),Exchange边缘服务器,用于发布Exchange应用程序,具体功用会在后面专题介绍。
7.Exchange服务器(加域),邮件服务器。
8.客户机,用于测试。
关于域控制器,ADCS,加域等基础功能就不多做介绍,直接略过。
二. 证书
出于安全考虑,ADFS必须在https环境下使用,因此就需要证书,推荐在三方权威证书颁发机构购买证书。但是出于企业内部使用的考虑,这里也介绍一下如何申请域证书证书,为了方便,我们将申请通配符证书,即*.contoso.com形式的证书。
整个证书申请过程如下:
1.在ADFS服务器打开mmc,并添加证书模块
2.个人-证书-所有任务-高级操作-创建自定义请求
3.选择不使用注册策略
4.选择(无模板)旧密码
5.点开详细信息-属性
6.填写证书属性
常规tab页:
填写好友名称.
使用者tab:
公用名(CN)需要填写成*.domain.com的形式.
私钥tab页:
加密提供程序选择“Microsoft RSA SChannel Cryptographic Provider(加密)” .
秘钥 :秘钥大小2048
勾选是秘钥可导出
7.选择保存位置,完成申请
8.使用IE打开证书服务,地址一般为http(s)://adcsIP/certsrv.点击申请证书
9.高级证书申请
10.Base64.............
11.使用notepad打开第7步保存的证书申请文件(reg结尾),并复制到证书申请文本框中,证书模板选择“web服务器”
12.完成证书申请,并下载安装到“个人”
这样就完成了一个由ADCS颁发的通配符域证书。该证书会在后续ADFS配置过程中使用到。